SESSION WILL BE IN SPANISH - ¡Haz click en RSVP para reservar tu plaza!

Ponentes

Javier Rodriguez - founding Engineer @chainloop

Jose Ignacio Paris - founding Engineer @chainloop

Las cadenas de suministro de software modernas involucran multiples equipos y requisitos de seguridad o compliance.

Tradicionalmente, cumplir con estos requisitos empieza a manos de los equipos Dev(Sec)Ops, y su primer paso es instrumentar sus CI pipelines con herramientas para realizar análisis (como SAST, SCA), recopilar evidencias como Software Bill of materials (SBoM), o reportes de vulnerabilidades, así como implementar control-gates. Sin embargo, estos esfuerzos a menudo se realizan de forma aislada, sin estandarización ni visibilidad.

Es por eso que una solución fundamental es crear un almacén centralizado de evidencias (evidence-store) para los metadatos de la cadena de suministro, atestaciones, artefactos y políticas.

En esta charla, discutiremos por qué deberías considerar tener un evidence-store en tu organización, qué propiedades debe tener (integridad, resistencia a manipulaciones, disponibilidad) y cómo construirlo usando herramientas y frameworks de código abierto como in-toto, Sigstore, SLSA Attestations, Open Policy Agent, OCI, entre otros.

También realizaremos una demostración de cómo puedes usar otro proyecto de código abierto, Chainloop, para crear atestaciones de software y ejecutar políticas que habiliten casos de uso como gestión de vulnerabilidades, licencias, visibilidad y más.

Tras el evento nos juntaremos a tomar algo en la Cervecería La Industrial, acércate si no puedes venir durante la tarde y quieres charlar con nosotros. Únete al canal de Telegram de Cloud Native Sevilla donde comunicaremos por dónde estamos.